Achtung, Cyberattacken! Informationssicherheits-Kontrollen für KMU

Ernsthafte Bedrohung – gerade auch für kleinere Unternehmen

Weltweit gibt es fast jeden Tag neue Schlagzeilen über Datenschutzverletzungen, Systemhacks oder erpresserische Ransomware-Attacken. Jüngstes Beispiel: die cyberkriminellen Machenschaften der Erpressergruppe „REvil“. Generell haben es die Angreifenden nicht nur auf internationale Konzerne oder große Unternehmen abgesehen. Fakt ist: Viele Hacker verdienen ihren Lebensunterhalt damit, auch kleine und mittlere Unternehmen (KMU) ins Visier zu nehmen.

Cyber-Attacken gefährden die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Unternehmensdaten, Informationssystemen und Netzwerken. Der sogenannte CIA-Dreiklang für Datensicherheit – Confidentiality, Integrity, Availability – wird komplett ausgehebelt. Die möglichen Schäden reichen von finanziellen Verlusten über Reputationseinbußen und behördliche Strafen bis zu Betriebsunterbrechungen und Insolvenzen. Umso wichtiger ist es, dass auch kleine und mittlere Unternehmen sowie Tochtergesellschaften entsprechende Budgets, Sicherheitstools und personelle Ressourcen bereithalten, um den immer größer werdenden Gefahren durch Cyberangriffe zu begegnen.

Quelle: Symantec Internet Security Threat Report and Fundera

Systematisches Risikomanagement gefragt

Jede Organisation ist auf das zuverlässige Funktionieren ihrer kritischen Infrastruktur angewiesen. Gerade die zunehmende Komplexität und Konnektivität der Infrastruktursysteme vergrößert jedoch die Angriffsflächen und macht es für Cyberkriminelle leichter, Schwachstellen der Informationssicherheit auszunutzen. Für die Unternehmen ist es daher zunehmend wichtig, einen systematischen Ansatz zur Identifizierung, Bewertung und Priorisierung von Cyberrisiken zu verfolgen. Auf dieser Basis können Kontroll-Mechanismen identifiziert und implementiert werden, mit denen sich das Risikoniveau auf einen akzeptablen Bereich senken lässt.

Diese Kontrollen können – im Fall einer Tochtergesellschaft – über Richtlinien des Konzerns bzw. der übergeordneten Organisation implementiert werden. Eine andere Möglichkeit für KMU sind kundenspezifische Kontrollen basierend auf Best Practices. Das Whitepaper „Information Security Baseline: SME/Subsidiary“ von TÜV Rheinland gibt einen Einblick in die empfohlenen und obligatorischen Informationssicherheits-Kontrollen. Interessierte Unternehmen erfahren, welche Maßnahmen speziell KMU und Tochtergesellschaften implementieren können, um letztlich die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) ihrer kritischen Systemressourcen zu gewährleisten.

Empfohlene und obligatorische Cybersecurity-Kontrollen

Die vorgeschlagenen Baseline-Kontrollen gelten für alle Mitarbeitenden eines Unternehmens, für Auftragnehmer*innen ebenso wie für Unterauftragnehmer*innen und deren jeweilige Einrichtungen, die den Geschäftsbetrieb der Konzernorganisation unterstützen. Sie sind überall dort relevant, wo Konzerndaten gespeichert oder verarbeitet werden und betreffen auch Dritte, die von der Konzernorganisation bzw. ihrer Tochtergesellschaft mit der Handhabung, Verarbeitung, Übertragung, Speicherung oder Entsorgung von Konzerndaten beauftragt wurden.

Verpflichtende Kontrollen

• Obligatorische Kontrollen bilden die Informationssicherheits-Basis für die gesamte Community und müssen von allen Tochtergesellschaften in ihrer lokalen, dezentralen und/oder Cloud-Infrastruktur implementiert werden. Um ein realistisches Ziel für einen kurzfristigen, greifbaren Sicherheitsgewinn zu setzen, haben wir insgesamt 15 obligatorische Kontrollen in den Bereichen Management, Technik und Operatives Geschäft priorisiert.

Empfohlenen Kontrollen

• Die 14 empfohlenen Kontrollen basieren auf bewährten Methoden, die die Tochtergesellschaften zusätzlich implementieren können, um ihre Informationssicherheits-Standards zu verbessern. Im Laufe der Zeit ändern sich aufgrund neuer Bedrohungen möglicherweise auch die Anforderungen an die Maßnahmen – und einige empfohlene Kontrollen können obligatorisch werden.